《船舶网络安全指南》2024

1 1 3 7 8 9 9 44 本指南适用需要满足及自愿申请中国CCS）船舶网络安全附加标志及网络安全评估的船舶（含海上设施）和船载计算本指南要求适用的船载计算机系统，系指利行监测或控制，如受到网络事件影响，可能会对人员安全、船舶安全和/），急切断系统、货物安全系统、压力容器安全法规或CCS要求的航行系统和无线电通信系统可采用IEC61162-460或其它同本指南所述船舶网络包含指南适用系统以及）；）；船载计算机系统是否申请对该系统进是否申请对该系统进行评估<><>是否与所述CBS采用基于IP的网络相连<><>是否与所述CBS采用基于IP的网络相连的CBS否是否是是不适用接口按本指南相关要求进行检验是是不适用接口按本指南相关要求进行检验否是是否申请免除否是是否申请免除风险评估免除本指南相关要求是是否符合免除要求免除本指南相关要求是是否符合免除要求否按照本指南相关要求进行检验按照本指南相关要求进行检验图CBS安全检验/评估判定流程访问控制（AccessC）：攻击面（AttackSurfac能点的集合。攻击面包括两类：数字和物理。数字攻击面包括连接到组成网络的和软件。这些包括应用程序、代码、端口、服务器和网站。物理攻击面包括攻理访问的所有终端设备，如台式机、硬盘设备、笔记本电脑、移动电话、可移）：补偿措施（CompensatingCoun计算机系统（ComputerBas）：组可互操作的可编程电子设备，为达到一个或多个特）：）：）：无意的攻击行为所导致的事件，该攻击行为对船载系统、网络和计算机或它们处或传输的信息造成实际的或潜在的不利后果，这可能需要采取相应措施来减轻后信息，或在连接该系统的网络中传输的信息。网络事件不包括系）：些网络事件是由船舶安全操作的操控系统（OT）的中）：）：网络的物理或逻辑子网。它的目的是加强内）：授权用户访问信息，通常通过服务器缓冲区满溢的方式实现。分布式拒绝服务攻击）：的计算机系统。重要服务包括“主重要服务”及“次重要服务”；主重要服务是指那要持续运行以保持推进和转向的服务；次重要服务是指那些不一定需要持续运行以维）：7加固（Hardening系指）：1入侵检测系统（IntrusionDetection）：动，探测恶意或违规操作，并进行报告的设备或软）：3逻辑网段（LogicalNetworkSegm域)2。）：）：）：）：备、传感器、软件和相关网络。操控系统可以被认为是专注于使用数据来控）：2物理网段（PhysicalNe）：）：络安全事件而受损的任何能力或服务。恢复功能支持用户及时恢复正常操作，）：）：受、避免、转移或控制风险到一个可接受的水平，考虑有关成本和效）：）：理者、代理或承租人，向船舶所有人承担船舶经营责任，并在承担责任后同意的义务和责任。在初始建造期间，船东可以是船厂或系统集成商（建造商或船）：制造厂或提供者，包括作为系统或子系统一起运行的应用程序、嵌入式设备、网络主机设备等。供应商负责向系统集成商提供可编程设备、子系）：）：3分段将网络划分为多个物理段或子网，对进出的数据包进行控制。网络层（OS（OSILayer7）都能允许或阻止连接和数据交换。流）：船舶设计要求规定的系统中，并提供集成系统的特定人员或组织。系统集成商还）：）：）：）：拟网络，为网络或设备之间的数据传输提供安全的通信隧道，利用隧道、安全控指南引用下列参考文件。凡是注日期的引用文件，仅引用版本适用，凡是不注日期的IEC62443-3-3:2013Industrialcommunicationnesecurity-Part3-3:Systemse船舶网络安全分级表表12345CyberSecurity(M,P[SL其中，M表示满足船舶网络风险管理要求，P表示满足船舶网络安全），（4）船舶网络安全附加标志与船舶、产品网络安全等级的对应关系见表船舶网络安全附加标志与船舶、产品网络安全等级对应关系表M-PS船舶在申请网络安全相关附加船舶网络安全附加标志的授予、保申请免除的CBS应按1.4.2所列要求开展，并满足1.4.3免除接受准则，提供相件发生的可能性及其对人身安全、船舶安全或），的连接等级、可能的便携式设备接口、逻辑访问限制、系统集成或系统间的接口包载系统的远程访问等），从资产脆弱性、内部和外部威胁、网络）；结合具体船舶，按照1.4.2所列要求，提供满足1.4.3免除准则的CBS网络风险当不能满足全部条件，但可以向CCS提供合理解释和证据，也可以申在接受免除时，CCS对其风险控制措施进阶段批准风险评估报告，CCS船舶审图验船师结合船舶（1）本指南提及的CBS及实现本指南规定接口的系统或设备；CBS中的主机、软件程用软硬件系统/设备，包括网络交换设备（交换机、网桥等）、网络路由等）、网络安全系统/设备（防火墙、安全网关、入侵检测系统、安全审计系少满足本指南2.3.1和2.3.2相应安全等级的要求。单独申请认证的网络设备应满足该类设船用产品的网络要求以安全要求为核心，其通信要求及可靠性要求以满足其业产品网络安全要求以表所列七个要素为核心，根据产品网络安全分级，船舶产品网络安全要求要素表12为通过身份鉴别的用户（人员、软件进程或设备）分配权限，以34确保通讯信道和存储区域的数据的保密性，5672.1.2基本安全要求重要系统的安全措施不应对系统可用性造成不利影响。安全措施的实施不得导安全区域边界处于故障关闭状态或孤岛模式时，不应影系统在设计时，应确保船舶、系统、人员和货物安全所2.2.1产品网络安全分级产品网络安全分为5个等级（SL0~SL4）见表。船舶产品网络安全分级表12345标识和鉴别√√√√√√√√CBS应对通过不可信网络访问的人员采*4 *5√√√√CBS应能标识和鉴别所有通过接口访问* *√√√√√√√√√√√√CBS应提供通过用户、组、角色或控制√√√√√④在存储和传输时，保护所有鉴别符不受未经授权√√√√√对于软件和设备用户，CBS应能通过硬件机制（如√√CBS应对无线通信的所有用户(人员、软件进程或设√√√√√√√√√√√√√CBS应防止任何人员在一定的口令更换用密码。此外还应能限制人员口令的最短和最长使用√√√当采用PKI技术时，CBS应能根据最佳实践运行√√√证证书，或者在自签名证书的情况下，通过将子证书部署到所有与颁发证书的主体通信的主机来④建立用户(人员、软件进程或设备)对相应私钥的⑤将已验证的身份映射到用户(人员、软件进程或设√√√√√√√√√√CBS应能限制任何用户(人员、软件进程或设备)连续无效访问尝试，尝试次数可配置；应能配置拒绝访问对于代表其运行重要服务或服务器的系统账户，应能*√√√√CBS应具有在身份验证前显示系统使用*√√√√CBS应能监测和控制所有通过不可信网*√√√√求* *√√√使用控制CBS应能在所有交互接口上为所有人员√√√√√CBS应能在所有接口上为所有用户（人和设备）分配权限，以控制系统的使用，支撑实施职√√√CBS应能授权用户或角色，定义和修改√√√CBS应支持管理员在可配置时间或事件√√当某个操作可能严重影响船舶安全时，如操作模式切√○1在发生紧急情况或其他严重事件时，需对自动机制实施受控、审计和手动覆盖。管理员利√√√√√CBS应能识别并报告在系统物理环境中√√①将便携式和移动设备限制在设计允许或授权的范②限制与便携式和移动设备之间的代码和数据传输√√√√√CBS应能验证试图连接到某个区域的便√√CBS应能控制移动代码技术的使用，如Ja√√√√√CBS应能在允许代码执行之前，验证移性√√CBS应具备会话锁定能力，在可配置的自动或手动启动。会话锁定将通过人员或其他授权人√√√√√CBS应能在一段闲置时间后自动终止远* *√√√CBS应能在会话中限制每个接口的并发√√CBS应能生成与安全相关的可审计记录括：访问控制、操作系统事件、备份和恢复事件、配√√√√√CBS应能集中管理可审计事件，并将整多个组成部分的审计记录汇编成一个系统范围（逻辑或物理）的、时间相关的审计追踪。控制系统应提供以行业标准格式导出这些审计记录的能力，以供标准商业日志分析工具分析，例如，安全信息和事件管理√√CBS应根据公认的日志管理和系统配置够的审计记录存储空间。应提供审计机制，以减少超√√√√√当分配的审计记录存储达到最大审计记录存储容量的√√CBS应能在审计处理失败的情况下，提CBS应根据公认的行业惯例和建议，支√√√√√√√√√√CBS应能以一定的频率同步内部系统时√√应保护时间源不受未经授权的更改，并应在更改时生√√√√√√√√√CBS应能使用密码机制来识别通信过程* * *√√CBS应能采用保护机制，防止、检测、或未经授权的软件，减轻其影响；并应能更新保护机制√√√√√√√√√√CBS应支持验证安全功能的预期操作，并在FAT（FactoryAcceptanceTest工厂试验）,SAT（SiteAcceptanceTest现场试验）和定期维护期间发现异常时报告。这些安全功能应包括支持本指南中规定的安√√√√√√√√√√√CBS应能在完整性验证发现差异时，使√√*√√√√如果攻击导致正常操作无法维持，应将输出或自身状√√√√√应能识别并处理错误状态，并支持进行有效修补。处理措施不应提供可能被对手利用来攻击系统的信息，√√√* *√√√应能在用户注销或其他会话终止时（包括浏览器会* * *√√√√√应能保护审计信息和审计工具（如有）不受未授权的√√√√数据保密性应能支持显式读授权，保护信息的保密性，无论是存√√√√√应能保护存储信息和远程访问会话信息通过不可信网√√√√组件退役或服务释放时应能清除所有相关读授权的信息√√√应能防止通过易失性共享内存资源进行未授权和非计√√如需要加密，应根据普遍接受的安全行业实践和建√√√√√应能从逻辑上将控制系统网络与非控制系统网络进行分段，从逻辑上将重要系统网络与其他控制系统网络√√√√应能将控制系统网络与非控制系统网络进行物理分段，并将重要系统网络与其他控制系统网络进行物理√√√应能向控制系统网络、重要系统网络或其他网络提供√√应能从逻辑上和物理上隔离提供主重要服务的重要系√应能监测和控制区域边界的通信，根据基于风险等方√√√√应默认拒绝所有网络流量，允许例外网络流量（也称√√√应能防止任何通过控制系统边界的通信（也称为孤岛√√当边界保护机制发生操作故障(也称为故障关闭)时，应能防止通过控制系统边界的任何通信。这种“故障√√√√√√√√√√√√事件的及时响应√√√√√应能使用应用程序编程接口（API）提供对审计记录√√应使用普遍接受的安全行业实践和建议，持续监控所有安全机制的性能，以及时发现、表征和报告安全漏洞√√√√√√√√），√√√应能限制所有用户（人员、软件进程和设备）引发√√于过载的DoS事件，如网络容量被试图淹没的情况，计应能通过安全功能限制资源的使用，防止资源耗尽。√√√√√应能标识和定位关键文件，对用户级和系统级信息（包括系统状态信息）进行备份，而不影响设备的正√√√√√√√√√√√√√√√√√√√√√√√√√√√应明确禁止和/或限制使用不必要的功能、端口、协议√√√√√√√√NDR2.13应对用于工厂诊断和测试的物理接口进行防护√√√NDR2.13应能主动监测网络设备的诊断和测试接口，并√√NDR3.10√√√√NDR3.10√√√NDR3.11√√√网络设备应能向接收者自动通报发现的未授权物理访问尝试，所有篡改通报应记入审计日志，作为整体日√√NDR3.12应能提供并保护产品供应商制造设备用作可信√√√NDR3.13①提供并保护资产所有方的密钥和数据的保密性、√√√NDR3.14应能在启动前验证组件启动过程所需的固件、√√√√NDR3.14√√√具备入侵防范功能的网络设备应能对收集的信息进行√√√√具备入侵防范功能的网络设备在检测到入侵事件时，能够采取记录事件、自动发出安全警告或阻断等安全√√√具备安全审计的网络设备应能监测、记录审计目标的注：不同类型网络安全专用产品的安全审计目标不√√√√√√√应将网络运行状态日志和网络安全事件日志存储于非易失性存储介质中，本地或外发日志保存时间不少于√√√系统/设备的开发应遵循安全开发生命周期中各阶段的安全需求可从安全环境、威胁模型、安全需求审计注意应用规范编码、使用代码分析工具、使用安全测试工具、人工审核代码安全等（4）验证，对系统/设备进行安全性验证的过2.2.1条相应安全等级要求。应对测试过程发现问题予以记录，并反确认安全开发过程中所有安全问题都已经得到修复或者缓解。产品通过安全评审（7）退役，系统/设备从运行环境中移除），供应商应编制安全开发生命周期文档，用以确认系统/设备满足安全开发生命周），③明确安装补丁后对于产品可能产生的任何影响，包括重新启动；④关于如何验证已安装批准补丁的说明；⑤安装未经批准或非资产所有者部署的补丁可能导致的风险。（3）相关组件/操作系统的安全更新文档，布前的安全测试，并可以确保产品用户能验证其适用产品及版本安全更新的真（5）产品纵深防御策略，用于描述产品的①产品提供的安全能力及其在纵深防御策略中的作用；③针对与产品相关的已知安全风险的用户缓解策略，包括与遗留代码相关的风①产品（包括第三方组件）与其安全环境的集成；②产品的应用程序编程接口/协议与用户应用程序集成；④配置和使用支持本地安全策略的安全选项/功能，以及b)对可配置值和默认值的描述，包括每个值如何影响安全性，以及每个值对业⑤所有安全相关工具和实用程序的使用说明和建议，这些工具和实用程序支持产⑧产品维护和管理的最佳安全实践说明。供应商应制定程序和技术控制措施，建立质量保证流程用以规定产品安全开发过程中的各阶段和安全开发生命周期文档编制。该程序文件和安全开发生命周如果系统包含为使用户能够验证其真实性而进行数字签名的软件，则适应商应提供管理文件，证明其策略、程序和技术控制措施已到位，以保护用于代私钥的生成、存储和使用免受未经授权的访问。策略和程序应规定角色、职责和程。技术控制应包括物理访问限制和用于存储私钥的加密硬件(例如硬供应商应提供本指南（3）要求的管理文用户知道系统是否与其依赖软件的更新版本（新版本、操作系统或固件的补丁提供系统安全更新，并描述用户如何验证更新后软件供应商应提供本指南（5）要求的管供应商应按本指南（6）要求提供管统制定了加固指南。指南应具体描述如何通过删除/禁止/禁用不必要3.1.1检验范围本章产品检验/评估适用的范围包含2.1.1.检验范围适用的产品，应向CCS提出检验申请。其中，CCS自愿认可的产品，可结合产品初次认可、认可变更、换证向CCS提出；产品网络安全相关的图纸资料应按照3.1.3提交，产品检验要求应按照本指南申请网络安全评估的产品，应按照3.1.3提交图纸资料，按照第3章第2节进供应商应遵循本指南2.4安全开发应按表提交图纸资料供CCS批准或备查。图纸资料汇总表表1®1)2)2®1)2)3®1)4®1)56®1)789®：提交CCS批准；）：）：提交文件的具体要求如下：a)硬件组件名称清单（如主机设备、嵌）；）；流或数据流（源、目标、协议、物理实现），可包含设备名称、I①物理网络拓扑图描述系统物理架构，能够清晰显示网络传输介质与各a)所有终端和网络设备，包括冗余单元；b)通信线缆（网络，串口连接），包括I/O②逻辑网络拓扑图描述系统软件组件间的网络或数据流向，包a)通信终端（如工作站，控制器，服务器等e)物理和虚拟通信线路；②描述与不可信网络的网络接口。描述接口如何满足与不可信网络连接时④CBS所有硬件和软件如何满足各项安全能⑤要求不能完全满足的部分，提供有效补偿①必要的测试设置（即确保可重复测试，且预期）；有规范（如用户账户、授权、密码策略、设备的安全状态、防火墙规则等并包含以下（6）安全开发生命周期文档，应至少包括本指南第条要求的内容，说明供应④响应方案，优先考虑不依赖于直接关闭或转移到本地控制的方案（如①依据变更程序，明确变更管理职责、范围、应根据产品申请的安全级别，按CCS批准的产试验项目应涵盖本指南第2章对应系统/设备的试验还应进行安全漏洞扫描或渗以验证网络设备的网络安全状态及性能。网络设备作为系统的组件时，可结合通过系统/设备网络安全漏洞扫描，确认无高风险项，或当存在高风险项时可举相关测试项目可采用测试工具执行，也可通过核查配置如产品无法确定在船舶系统中的具体应用场景时，测试报告和与供应商声明标准相关的验证，在完成要求的检查和测试后可出具在CCS验船师见证下，进行（1）通过技术手段，对产品进行全面的检渗透测试（1）通过技术手段，对产品进行全面的渗（1）通过技术手段，对网络设备进行网络量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪。网络风暴的产生通常备的不合理配置、网卡故障、网络环路设置错误、网络病毒、恶意攻击等原因（1）通过技术手段，对网络系统产品进行供应商/系统集成商应定义变更的分类对产品安全能力产生影响的变更应提交至CCS批准，必要时进行变更说明应至少包含表描述的内容。变更描述信息表应对船舶网络安全风险进行管理，并建立和实施有效的船舶网络安全风险管理如因条件受限，技术措施确实无法达到要求时，可采取适当识别、保护、检测、响应、恢复为支持船舶有效网络风险管理的五个功能要素，本章所有网络安全要求都基于这五个功能要素提出。具船舶网络安全风险管理制度应纳入安全管理体系，确保网络安全风险处于可接受水平，满足相关方（运营方、使用方、监管方等）对安全管理体系的责任和权限信息中应包含涉及网络风险管设立船舶网络安全管理机构与岗位，将管理职责落实到具体机构和人员，船舶所属公司应持有有效的符合ISM/NSM规则要求的DOC证书，船最新有效的管理体系文件和相关人员资料、管理记录（如有发生重大网络事件时，应及时通有效的安全风险管理制度系指基于风险的可持续管理制度中应包含运维管理的（5）事件与应急管理，包括应急计划制定和演），），），），当船舶网络系统存在新建和/或重大），），），开展建设管理活动时，应对重要事项形成管理记录，包括但不限于：（4）重要工程节点，如集成测试、安全测试应识别网络安全方面的培训需求，并纳入管理体对于已识别的资产进行风险评对所有已识别的船舶、人员和环境风险，制定和实施对于网络事件，应制定和实施适当的发现、响应、恢复和4.3.1一般要求船舶网络设计应以风险评估为原则，满足船本节所有网络安全要求与条定义的五个功能要素的对应关系见表网络风险管理的功能要素与船舶网络安全要求关系表表资产保护、资产处置、物理访问控制、网络防护、安全区域、边界防护、网络冗余、通信安全、入侵防范、身份鉴别、访问控制、恶意代码防范、远程访问、远程维护、无线）；√√√√√√√√√√√√√），√√√√√4.3.5物理访问控制√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√求√√√√√√√√√√OT系统与IT系统之间应划分为不同区域，区域间应√√√4.3.8边界防护√√√√√√√√√√√√√√表√√√√√√√√√√√√应在OT系统与IT系统之间部署访问控制设备，配置√√√√√√√√√√√√√√√√√√√√4.3.10通信安全√√√√√√√√√√√√√√4.3.11入侵防范√√√√警√√√√√√√√√√√CBS应能对用户的身份进行鉴别，满足2√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√4.3.15远程访问√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√4.3.16远程维护（456）条；√√√√√√√√√√√√√√√√√√√√√√√√√√√4.3.18移动介质安全√√√√√（3）SR2.3条要求。对不能完全√√√√√√√√√√√√√√√√√√√√√√√√⑥安全事件应具有满足（8）S√√√√√√√√√√安全功能进行诊断，可采用设备的自诊断功能或网络监控工具(如ping、traceroute、ipconfig、netstat、全状态进行诊断，并提供维持安全功能的手段，以保√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√）；√√√√√√√√√√√√√√√虑√√√√√√√√√√√√√√√√√√√√√√√√√4.3.22恢复和备份本指南适用的CBS应具有恢复和备份能力，以使船舶在发生网络事件后快速、安全地恢复航行和运行状态√√√√√√√√√√√√√√√√√√√√间√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√响√√√√√√√√√√4.3.24脆弱性管理√√√√√√√√√√√√本章适用于拟取得CyberSecurity（M,P[SL0]/S[SLx]船舶网络安全检验可与CCS规范规定的相同类型检验同时进行（1）指南3.1.3要求的已批准的产品图纸；（2）船舶资产清单，船舶资产清单应包含指资产清单是系统资产清单的集合，每个系统应有独立的资产清单，如图所示。此图船舶资产清单）；③描述不同安全区域内CBS之间的通信目的和特征（如协议和数据流向），包括④描述安全区域与不可信网络之间的通信，）；⑤无线网络设计，说明无线网络设计方案，包括如何边界设备配备及允许通过区域边界的流量（如防火⑦恶意代码防护机制，概述每个CBS采用访问或通过安全区域边界与不可信网络进行通信，如是，则应说明章3.1.3条要求的产品网络事件响应及恢复计划应作为重要输入信息；®补偿措施说明（如有时）；（5）船舶网络安全测试大纲应包括在测试设计说明书等相关文件描述一致，可通过现场检验、网络扫描和/③安全区域边界只允许已批准的网络安全设计说），）；⑥“最小功能”测试，通过分析评估和端口扫描来测试是否已根据第2章（7）所要求的产品安全加固的指导文件；⑦恶意软件防护或其他补偿措施的有效性，可使用可靠⑨无线网络依据各供应商提供的批准文件，采用安全），-测试断开的网络连接时会触发报警，-测试检测到异常高的网络流量时会生-证明CBS将以安全的方式应对网络风暴，同时考虑单播和）；-如有入侵检测系统，则验证该系统是被动部署的，不会激活可能影⑩船舶安全所需的本地控制可以独立于任何远程或自动控制系统进行操作，应通节条的措施，使系统恢复到合理的安全状态。例如，允许操作员通过其他方式执行控制和监测功能，使系统维持其基本服务。该测试可测b)对登录失败次数进行限制，当远程用户建立会话时，应有提示信息；d)船上人员可以手动终止远程连接，或者在一段非活跃时间后，自动终止；a)只有授权用户才能使用移动或便携式设备；b)端口只能被特定设备使用；c)文件不能直接从移动介质传递到CBS；d)移动介质中的文件不能自动执⑩补偿措施测试（如有时）。①变更管理程序，应依据《钢质海船入级规范》第7篇第2章第6节2.6.10变更管理的要求制定变更管理程序，主要包括硬件、软件②安全区域边界设备（如防火墙）的管理，包括最小功能原则、明确允许的流③恶意代码防护管理，包括防护软件的维护及更新、物理防护及操作程序、移动④物理和逻辑访问控制，包括系统和设备的物理访问控制、对访客的物理访问控⑤保密信息的管理，包括保密信息、授权人员可获得的信息、无线网络中传输⑥通过不可信网络进行远程访问及通信的管理要求，至少包括用户手册、角色及许可、补丁及更新、远程更新前的确认、中断、停止⑦移动介质管理要求，包括移动介质管理策略及程序、端口的物理阻塞、授权人⑧CBS和网络异常的管理活动，包括发现和识别异常活动、安全可审计记录的a)说明谁、何时以及如何应对网络事件；b)描述对本地/手动控制的程序或说明；c)描述对隔离安全区域的程序或说明；a)说明谁、何时以及如何从网络事件中恢复；b)考虑可接受的停机时间、可供选择的其他控制手段、供应商支持及CBSc)用于执行备份、关闭、复位、恢复1®M2®3®4®5®6®7®1）8®®提交CCS批准®提交CCS参考船舶网络安全检验要求与其取得的网络安全附加标志密切相关。当船舶取得多船舶网络安全测试大纲的所有测试应由CCS见证，其中部分测试项目（如(5)⑤-⑮项、供应商提供的CBS恢复和备份操作手册中的测试项），若其安全功能已经在CBS认证期间进行了测试，经CCS船舶网络安全测试大纲、恢复和备份计划程序以及由供应商提供的C检验/评估完成后，CCS为船舶授予相应等级的附加标志。在船舶首次年度检验之前的适当时船舶网络安全管理计划经CCS年度检验应对以下项目进行确认：⑤已为船上负责人员提供恢复所需的设备、工具、文件和/或必要的⑥根据策略和程序对CBS进行⑦停机、复位、恢复和重新启动的说明手册和程序可供船上负责人员使船东应根据船舶网络安全测试大纲，基于年度检验项目开展安附录1船舶CBS风险评估1.1.1船东/船公司/供全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对1.1.2本指南提供一套完整2.2.1风险评估基本要素包括资产、威胁、脆弱性和安全措施，并基于以上要素开展风（2）安全措施的实施通过降低资产脆弱性被利用难易程度，抵御外部威（1）收集有关船舶系统、设备和连接的信息，以确定风险评估的范围。（2）通过本文件中的评估等级或风险评估方法，评估不同的系统参数。（3）根据之前评估的风险等级，通过定义和实施相关安全措施，确定是根据IACSURE22要求，基于系统功能故障的影响I这些系统的故障最终会对人员的安——对保持船舶处于正常运营和起居状况所必要的报警、监测和控制这些系统的故障即刻会对人员的安全、船舶的安全以及环境产生危害或——保持船舶推进和操舵的控制功能资产分类，可将资产按照层次可划分为业务资产、系统资产、系统组件和单元资产，也可根据资产的表现形式，将资产分为OT系统、IT系统等。本文件依据表附录序号1能源供给系统（油、气、电23456舱底水和压载水系7水密完整性和进水探89ECS(国内航行船舶电子海图IMF/HFNAVTEX），（3）资产重要性等级，结合船舶系统自身特点，可根据资产所属计算机高）。根据资产赋值结果，确定重要资产的范围，并主要围绕重（1）威胁分类，造成威胁的因素可分为人为因素和环境因素。根据动机非恶意。环境因素包括自然界不可抗的因素和其他物理因素。威胁的作用是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成可能是偶发或蓄意的事件。对威胁的分类需充分考虑威胁的来源，并根据1操作人员在工作中发生错误或疏忽，包括操作错误、维护2超越自己的权限访问了无权访问的资源，或滥用自己的职权，做等3操作用户对自己的操作行为不承认，包括原发抵赖、接收抵赖、4感染了在系统中执行恶意任务的程序代码，包括病毒、木马、蠕虫、后门、间谍软件、窃听软件、流氓软件、网络钓鱼、僵尸网5利用工具和技术，通过网络对系统进行攻击和入侵，包括网络探测、信息采集、嗅探、漏洞探测、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏、口令攻击、密6789（2）威胁赋值，判断威胁出现的频率是信息安全威胁并结合行业经验以及有关统计数据进行判断并对威胁性赋值。③近年来国际组织发布的对于整个社会或特定行业的威胁及（3）对威胁出现的频率进行等级化处理，不同等级分别代表威胁（1）脆弱性识别的内容，脆弱性识别可以以资产为核心，针对每一项设备可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别②脆弱性识别主要从技术和管理两个方面进行，技术脆弱层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为弱性和组织管理脆弱性两个方面，前者与具体技术活动有关，后从CBS所处环境的保护、设备设施管理、便携式设备和从网络结构设计、边界保护、内外部访问控制策略、网从补丁安装、物理保护、用户账户、口令策略、资源共享、事件审计、访问控制、系统配置、注册表加固、网从审计机制、审计存储、访问控制策略、数据完整性、从物理和环境安全、通信与操作管理、访问控制、数据从安全策略、组织安全、资产分类与控制、人员安全、（2）脆弱性赋值，可以根据脆弱性对资产的暴露程度、技术实现的难易级方式对已识别的脆弱性的严重程度进行赋值。不同的等级分别代表资产脆重程度的高低。等级数值越大，脆弱性严重程度越高。如，1～3个在识别脆弱性的同时，应对已采取安全措施的有效性进行识别确认。安全措施将评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措续保留，对确认为不适当的安全举措应核实是否取消、修正或替代。安全措施可以分（3）制定CBS维护策略，其中CBS2.5.1在完成资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，船东/船公司/供应商应采用适当的方法与工具确定威胁利用脆弱性导致安全事件安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的2.5.2船舶网络安全风险分析可以是定性的，定量的，也可以是两者的组合:（2）识别威胁，描述威胁的属性，并（5）根据安全事件的可能性和后果损失计算安全事件对系统其中，R代表安全风险计算的功能；A代表资产；T代表威胁；V代表漏洞；Ia代表安全事件所起作用的资产的价值；Va表示漏洞的严件的可能性；F代表安全事件的后果。风险计算可采用矩阵法和相乘法等进行2.6.1为实现对风险的控制与管理，应对风险评估的结果进行等级化处理。不同的等级分别代表系统资产风险严重程度的高低。等级数值越大，脆弱性严重程度越高。如2.6.2应根据所采用的计算方法，计算系统资产面临的风险值，根据风险值的分布状等级标识3高风险高。系统、数据不可用，严重影响安全操作，对船舶运营造2中风险适中。未经授权访问船舶网络、系统、数据和其他资源，影响船舶日常等级标识1低风险低。对系统、数据的可用性造成影响较小，通过简单的措施可弥补或有2.7.1风险处置计划，对不可接受的风险应根据导致风险的脆弱性为船舶网络系统制定风险处置计划。风险处置计划中明确采取的弥补脆弱性的安全措施、预期效果、件、季度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑。当一安全措施不足以达到可接受的残余风险水平时，船东/船公司/供应商应采取管2.7.2残余风险评估，对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的对于采取了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应否接受此风险或进一步采取安全措施，经批准后则纳入应急计划，并定期开展演附录2船舶网络安全管理1.1.1应建立和实施有效的船舶网络安全能力，确保网络安全风险处于可接受水平，满足相关方（运营1.1.2有效的安全风险管理制度体系指基设计、实施与运行、检查和评审、保持和改进，如图2.1.1应包含安全运维管理的内容，包括但不限于本附录第4节和第5节所列各适用的管理活动。如适用时，尚应包含安全建设管理的内容，包括但2.1.2管理制度应以文件化的形式体现，一般包括管理手册、管理规定/程序、操作规程2.1.3管理手册为纲领性文件，说明安全管理工作的目标、方针、范围、原则、组织机2.1.4管理规定/程序为程序性、规定性的文件，描述各管理过程、涉及的管理活动及管2.1.5操作规程/须知为指南和操作性文件，用于具体指导管理工作执行，包括各种操作2.1.6记录表单/报告为记录性文件，用于进一步规范管理工作的输入和输2.2.1应指定或授权专2.2.2管理制度应经批准后通过正式、有效的方式发布实施，并进行文件版本控制。2.3.1应定期或在发生重大变化时进行内部审核，以确定安全管理制度的实施情况是否2.3.3对检查、审核、评审、安全事件调查等活动中发现的不符合情况，应采取纠正与3.1.1网络建设方和/或使用方宜设立由决策层、管理层和执行层构成的三级相关岗位，定义岗位职责，并配备岗位人员或将岗位职责落实到具体人员。有冲和责任范围应分离，以减少未经授权或无意修改或误用3.1.2决策层一般为指导和管理网络安全工作的委员会或领导小组，其最高领主管/分管领导担任或授权，负责船舶网络安全方针、策略、重大事项等方3.1.3管理层一般为网络安全管理的职能部门或工作小组，负责船舶网络安全3.1.4建设方的执行层一般由安全管理员、系统管理员等岗位构成，负责落实工作。安全管理员是网络安全的负责人。系统管理员负责网络系统及相关设3.1.5使用方的执行层一般由船端安全管理员、船端系统管理员、岸端系统管位构成。船端安全管理员是船舶网络安全的负责人，一般为船长或其指定人员。管理员负责船舶网络系统及相关设施的部署、安装、配置和技术支持。船端系统3.2.1应根据各职能部门和岗位的职3.2.2应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序3.2.3应定期（间隔不3.3.1应加强各类管理人员、内部机构以及外部机构（监管、检查等）之间的通，有条件时组织召开协调会议，共同协作处理网络安3.3.2应加强与网络安全相关的外部机构、各类供应商、业界专家及安全组织3.3.3应建立网络安全相关的外联单位联系列表，包括外联单位名称、合作内3.3.4密切关注主管机关、CCS及行业协会的有关网络安全事件的通函、通4.1.1录用与离岗（2）应对被录用人员的身份、安全背景、专业资格或资质等进行审查，（3）应与被录用人员签署保密协议，与关键岗位人员（岸端系统管理员（4）应及时终止离岗人员的所有访问权限，收回各种身份证件、钥匙、4.1.2培训与考核（1）应对各类人员（包括操作人员）进行安全意识教育和岗位技能培训（3）应定期对不同岗位的人员进行船舶网络安全管理和4.1.3第三方人员（2）在第三方人员接入受控网络访问系统前，应先提出书面申请，批准（3）第三方人员远程接入时，远程接入点不能为公众场合，且应在接入（4）第三方人员使用网络系统前（包括设备和应用系统应接受必要的安全4.2风险管理4.2.1应采取必要的措施识别建设和运维中的安全漏洞和隐患，对发现的安全漏洞和隐4.2.2应定期或在下列情况下开展网络安全风险评估，形成风险评估报告：4.2.4运维期间的网络安全风险评估应包含技术检测。4.2.5对风险评估中发现的安全风险，应进行风险处置和再评估（残余风险评估）。4.3.1应定期进行常规安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后4.3.2应定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置4.4.1变更前应明确变更需求，并制定变更方案，变更方案经审批后方可实施。4.4.2应建立变更的申报和审批控制程序，依据程序控制所有的变更，记录变更实施过4.4.3对于重大变更，应进行变更失败的风险评估，并建立中止变更并从失败变更中恢复的程序，明确过程控制方法和人员职责，必要时对4.5事件与应急管理4.5.1应及时向管理员和其他相关人员报告所发现的安全弱点和可疑事件。4.5.2应制定安全事件报告和处置管理规定，明确不同安全事件的报告、处置和响应流程，包括现场处理、事件报告和后期恢复的4.5.4对造成系统中断和造成信息泄露的重大安全事件应采用不同的处理程序和报告程4.5.5对重大安全事件，现场应急响应结束后，还应进行事件调查，并形成事件调查报告，必要时启动风险评估，并对存在不足的管理4.5.6应制定应急计划，以便指明如何及时发现并采取措施限制网络安全事件的后果，以及通过适当的响应行动确保安全和恢复受影响的系统。至少包括要寻找的症状、4.5.7应定期对相关的人员进行应急计划4.5.8应定期或在应急响应结束后对原有的应急计划重新评估，修订完善。4.5.9应急计划应保存在负责人员易于获取的位置，其有效性不应因发生网络安全事件而失效，可以是独立于船舶网络的硬拷贝（纸质文本）或4.6备份与恢复管理4.6.1应根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策备份计划应规定备份信息的备份范围、备份方式、备份频度、存储介质、4.6.3定期对备份数据和恢复程序进行测试，确保备份数据能够正常工作。检查和测试备份介质的有效性，确保在恢复程序规定的时间内完成4.7服务供应商管理4.7.1应确保服务供应商的选择符合相关组织的规定，包括产品供应商、通信服务供应4.7.2应与选定的服务供应商签订相关协议，明确整个服务供应链各方需履行的网络安4.7.3应定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控4.7.4应识别所有网络服务的安全机制、服务等级和管理要求，并包括在网络服务协议4.7.5对外包运维服务商，尚应符合下列要求：（1）选择外包运维服务商时，应保证其在技术和管理方面均应具有按要（2）应签订协议明确约定外包运维的范围、工作内容和安全要求等信息的访问、处理、存储的要求，对IT/OT设施和网络4.8密码管理4.8.1应遵循密码相关要求。4.8.2应使用密码管理监4.9保密管理4.9.1应符合相关组织对国家秘密、商业秘密、隐私等保密相关要求。4.9.2应对列入保密范围的信息、不良信息等信息发布进行管控。4.9.3应对信息传输进行管控，以保护通过通信设施传输的所有类型信息的安全，并有相应的保密协议或不扩散协议来防止所传输的信息5.1.1应对物理访问、物品带进出等方面制定管理规定。登船访问应经批准5.1.2应定义安全区域，用来保护包含敏感或关键信息和信息处理设施的5.1.3应不在安全区域接待来访人员，不随意放置含有敏感/重要信息的纸5.1.4应指定专门的人员定期对机房等处所的供配电、空调、温湿度控制、5.1.5应妥善安置及保护设备，以减少来自环境的威胁与危害，并减少未授5.1.6应保护设备免于电力或通信中断及其它因支持设施失效导5.1.7应确保无人值守的设备有适当的保护，如锁屏或置于视频监控之下，5.1.8应采用清除桌面纸质和可移动存储介质的策略，以及清除信息处理设5.2.1应编制并保存与保护对象（主机设备、网络/安全设备等）相关的资5.2.2应根据资产的重要程度对资产进行标识和登记管理，选择相应的管理5.2.3应监控、调整资产5.3.1应将介质存放在安全的环境中，对各类介质进5.3.2应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制授权的访问、滥用或在运输过程中的损坏，并对介质的归档和查询等进行登记记5.3.3应禁止接入私人移动介质（船员娱乐网络除外），ECDIS5.4.1应对各种设备（包括备份5.4.2应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的5.4.3信息处理设备应经过审批才能带离船舶，并记录出场和归还的时间，质的设备带出时其中重要数据应加密或清除。设备在场外（如离船出差等）应护，以防未经授权的使用和信息泄露（如设备被盗、丢失等在出入境时应对相关5.4.4未经事先授权，不得将设备带离现场。船东应指定责任人现场有权允（包括设备部件）。拆除设备应限制带离现场的时5.4.5含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖5.4.6各设备的USB接口和网线接口等对外通信接口，应通过物理锁闭和等方式进行有效的访问控制管理，以防范未经授5.4.7便携式电脑、掌上电脑等移动设备（包括船员和第三方人员携带），在船上的使用应进行有效控制，以防未经授权的接入和使用。除船员娱乐网络外，5.5.1应建立网络和应用系统安全管理制度，对账户管理、安装升级（1）应划分不同的角色进行网络和应用系统的管理和使用，明确各（2）应对申请账户、建立账户、删除账户等进行控制，并定期审查账户打补丁。所安装的设备和软件应经批准，操作成功后应形成相关日志。（1）应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参（2）应严格控制变更性运维，经审批后才可改变连接、安装软数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新（3）应严格控制运维工具的使用，特别是可以覆盖软件系统和应用权限